L'AESIA acapara els titulars. Cada vegada que es parla de regulacio de la IA a Espanya, el nom que apareix es el de l'Agencia Espanola de Supervision de la Intelligencia Artificial. Es logic: es l'organisme especific de l'EU AI Act, el que mes premsa ha generat, el que te el poder sancionador mes cridaner.
Pero hi ha dos organismes mes que poden trucar a la teva porta si uses IA a la teva empresa. I moltes organitzacions no ho saben fins que ja ho tenen a sobre.
Aixo no es teoria regulatoria. Els tres tenen competencia activa, capacitat sancionadora real i ja han actuat contra empreses en casos relacionats amb tecnologia automatitzada. La diferencia es que ara la IA es a quasi tots els processos de negoci, cosa que amplia el perimetre d'exposicio de forma significativa.
AESIA: el regulador dels sistemes d'IA
L'Agencia Espanola de Supervisio de la Intelligencia Artificial es l'organisme que Espanya ha designat com a autoritat nacional competent per a l'aplicacio de l'EU AI Act. Va comenar a ser operativa el 2023, pero el seu poder sancionador complet no va arrencar fins a l'agost del 2025.
Amb aproximadament 30 professionals en plantilla, pot semblar petita. Pero te capacitat per iniciar investigacions, requerir documentacio, imposar mesures cautelars i aplicar sancions. I aquesta capacitat creixera: el pressupost de l'agencia s'esta expandint i el seu equip tambe.
El que vigila l'AESIA es el compliment de l'EU AI Act: si els sistemes d'IA que fa servir la teva empresa estan correctament classificats, si els d'alt risc compleixen els requisits de documentacio i transparencia, i si hi ha una governanca adequada sobre l'us de la IA a l'organitzacio.
Un punt que poca gent coneix: l'AESIA tambe supervisa el compliment de l'Article 4, que exigeix que tota la plantilla que treballi amb sistemes d'IA tingui un nivell d'alfabetitzacio suficient. No es nomes per a les empreses que desenvolupen IA. Es per a qualsevol empresa que la faci servir.
35M EUR
Sancio maxima de l'EU AI Act per als incompliments mes greus: 35 milions d'euros o el 7% de la facturacio global anual, el que sigui major.
Per als incompliments de l'Article 4 (alfabetitzacio en IA), les sancions arriben fins a 7,5 milions d'euros o l'1% de la facturacio global. Res de simbolic si tens 30 o 50 milions d'euros d'ingressos anuals.
AEPD: entra si els teus sistemes d'IA processen dades personals
L'Agencia Espanyola de Proteccio de Dades ja tenia jurisdiccio sobre les empreses abans que existis l'AESIA. I la segueix tenint. La questio es que ara gran part dels sistemes d'IA que les empreses despleguen processen dades personals, cosa que posa automaticament l'AEPD en joc.
Els casos tipics no son exotics. Un chatbot que interactua amb clients gestiona dades personals. Un sistema de scoring que avalua sol·licituds processa dades de persones reals. Una eina de RRHH amb IA que classifica candidats o avalua el rendiment d'empleats treballa amb dades especialment sensibles. La videovigilancia intelligente a oficines o botigues captura dades biometriques.
En tots aquests escenaris, a mes de l'EU AI Act, s'aplica el RGPD. I l'AEPD te competencia per investigar i sancionar qualsevol tractament de dades que no compleixi amb les garanties exigides.
El que fa especialment important aquest punt es el creuament normatiu: si el teu sistema d'IA es d'alt risc segons l'EU AI Act i processa dades personals, pots rebre una inspeccio de dos reguladors al mateix temps. L'AESIA mirara el compliment de l'AI Act. L'AEPD mirara el tractament de dades. No son excloents.
Multes RGPD: fins a 20 milions d'euros
Les infraccions greus del RGPD poden suposar fins a 20 milions d'euros o el 4% de la facturacio anual global, el que sigui major. L'AEPD ja ha sancionat empreses per l'us de sistemes automatitzats de presa de decisions sense les garanties adequades.
El RGPD te requisits especifics per a la presa de decisions automatitzada que afecta persones: dret a explicacio, dret a impugnacio i, en molts casos, necessitat d'avaluacio d'impacte. Si la teva IA pren o influeix en decisions sobre persones (clients, empleats, candidats) sense aquestes garanties, l'AEPD pot actuar.
ITSS: la Inspeccio de Treball i la IA en RRHH
Aquest es el regulador que menys esperen les empreses. La Inspeccio de Treball i Seguretat Social te competencia sobre qualsevol us d'IA que afecti les relacions laborals. I aquest perimetre es mes ampli del que sembla.
Els casos concrets inclouen: algoritmes de seleccio de personal que filtren candidatures, sistemes d'avaluacio del rendiment automatitzats, eines de monitoritzacio d'empleats amb IA, o qualsevol proces en que una decisio algorÃtmica afecti les condicions laborals d'una persona.
La base legal es l'article 22 bis de l'Estatut dels Treballadors, introduit pel Reial Decret-llei 9/2021. Estableix que els treballadors tenen dret a coneixer els parametres, criteris i regles en que es basen els algoritmes o sistemes d'IA que poden afectar les seves condicions de treball. No es un dret teoric: els representants dels treballadors poden exigir aquesta informacio formalment.
Article 22 bis de l'Estatut dels Treballadors
"L'empresa informara els representants dels treballadors dels parametres, regles i instruccions en els quals es basen els algoritmes o els sistemes d'intelligencia artificial que afecten la presa de decisions que poden incidir en les condicions de treball, l'acces i el manteniment de l'ocupacio, inclosa l'elaboracio de perfils."
Reial Decret-llei 9/2021, article 22 bis ET.
La ITSS ja ha actuat contra empreses de plataformes digitals per l'opacitat dels algoritmes que gestionen repartidors i treballadors de l'economia de plataforma. Aquests precedents son rellevants: la jurisprudencia i la doctrina administrativa s'estan estenent progressivament a sectors mes convencionals.
Si la teva empresa usa IA per prendre o donar suport a decisions sobre contractacio, avaluacio, promocio o desvinculacio de persones, la ITSS te competencia per inspeccionar si compleixies amb les obligacions de transparencia algoritmica i amb les garanties laborals aplicables.
L'escenari del triple regulador
Un exemple concret fa que aixo quedi clar.
Una asseguradora fa servir un sistema d'IA per avaluar sol·licituds d'asseguranca de salut. El sistema classifica els sol·licitants, aplica criteris de risc i recomana primes o rebuigs. Hi ha persones de l'equip de RRHH que abans feien aquest proces manualment i que ara treballen amb l'eina.
Primer front: l'AESIA. El sistema probablement es d'alt risc segons l'Annex III de l'EU AI Act (sistemes d'IA usats per avaluar la solvencia o classificar el risc de persones). Necessita documentacio tecnica, registre de conformitat, mecanismes de supervisio humana i, de manera critica, formacio de l'Article 4 per a tot el personal que el fa servir.
Segon front: l'AEPD. El sistema processa dades personals dels sol·licitants, possiblement incloent-hi dades de salut, que son categoria especial sota el RGPD. Requereix una Avaluacio d'Impacte de Proteccio de Dades (EIPD), base legal robusta, garanties de no discriminacio i mecanismes perque els afectats puguin impugnar les decisions automatitzades.
Tercer front: la ITSS. Els empleats que gestionaven el proces anterior tenen dret a coneixer els parametres de l'algoritme que ara influeix en la seva feina. Si el sistema afecta com s'avalua el seu rendiment o implica una reestructuracio de les seves funcions, la representacio sindical pot exigir informacio i la ITSS pot verificar el compliment.
Tres inspeccions possibles, simultanees, per al mateix sistema. No es un escenari hipotetic. Es el marc legal vigent aplicat a un cas completament ordinari al sector assegurador espanyol.
L'Article 4 com a escut
De tots els requisits que els tres reguladors poden exigir, n'hi ha un de transversal que redueix l'exposicio als tres fronts alhora: l'Article 4 de l'EU AI Act.
L'Article 4 exigeix que tots els operadors de sistemes d'IA garanteixin un nivell suficient d'alfabetitzacio en IA per al seu personal. Va entrar en vigor el febrer del 2025 i el termini de compliment efectiu es l'agost del 2026. No s'ha ajornat. No ha canviat.
Davant l'AESIA, tenir formacio documentada i certificada demostra que l'empresa pren seriosament la governanca de la IA. Es el primer paper que demanaran en una inspeccio.
Davant l'AEPD, una plantilla formada en l'us responsable de la IA i en proteccio de dades es evidencia de les mesures tecniques i organitzatives que el RGPD exigeix per demostrar responsabilitat proactiva.
Davant la ITSS, els empleats formats sobre els sistemes que fan servir i les seves implicacions estan en millor posicio per complir les obligacions de transparencia algoritmica que estableix l'article 22 bis de l'ET.
Primera pregunta en qualsevol inspeccio de IA
La teva empresa ja te documentat quins sistemes d'IA fa servir i qui els controla? Si la resposta es no, aquest es el primer risc que has de resoldre. Sense aquest inventari, cap dels tres reguladors pot rebre una resposta satisfactoria.
La formacio amb FUNDAE cobreix el 100% del cost per a les empreses espanyoles que tenen credit acumulat. No es opcional: es el pas mes concret, mes visible i mes defensiu que pot fer una empresa davant dels tres reguladors.
Si no saps per on comenar, el primer pas es sempre la formacio basica de l'equip. Consulta'ns sense compromis i t'ajudem a estructurar el que necessita cada perfil.
Formacio EU AI Act · Article 4
Redueix la teva exposicio davant els tres reguladors
El nostre curs d'Aplicacio Segura de la IA a l'Empresa cobreix les exigencies de l'Article 4 i esta dissenyat perque el teu equip entengui els riscos regulatoris reals. Bonificable al 100% amb credit FUNDAE. Certificats per participant inclosos.
Veure Programa de Formacio →